Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » M21720009 на номер 8353

Ответить
Настройки темы
M21720009 на номер 8353

Аватара для yurfed

Ветеран


Сообщения: 20095
Благодарности: 3135

Профиль | Отправить PM | Цитировать


Изменения
Автор: yurfed
Дата: 03-12-2009
Давеча, от второго числа, принесли два системника с одинаковой проблемой. Просит смс с текстом M21720009 на номер 8353.
Похоже на "свежачок". Единственное, что успел разглядеть под занавес рабочего дня, подцепив куст с LiveCD, что в реестре "Shell"="Explorer.exe", а вместо "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," типа такого пути - C:\Program Files\Internet Explorer\Iexplore.exe.......(примерно)scnsvhst.dll

К сожалению, не успел проверить. Завтра буду пытать.
На DrWEB не ссылаться. Там пока этого варианта нет.
Мне само окно убрать не проблема, правда до следующего перезапуска
Если уже кто-то сталкивался с это бякой, опишите ваши действия. Правильные или нет, не важно. Просто наступать второй раз на одни и те же грабли не хочется.

-------
Хочу ли я - Могу ли я - Говно ли я - Магнолия


Отправлено: 22:00, 03-12-2009

 

Аватара для Drongo

Будем жить, Маэстро...


Сообщения: 6694
Благодарности: 1393

Профиль | Сайт | Отправить PM | Цитировать


Цитата yurfed:
Если уже кто-то сталкивался с это бякой, опишите ваши действия »
Самый простой случай, над которым я экспериментировал. Загрузился с BarPE, подгрузил реестр, В значении ключа "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," был другой файл - C:\WINDOWS\system32\user.exe - файл удаляем, пишем правильное значение в к ключах Shell и Userinit. Всё.

Знаю есть варианты, когда нужно было ещё очистить папки Temp и в том числе находящиеся в Documents and Setting\_name_profile_

Здесь можно найти некоторые варианты рецептов против sms-вымогателя

Цитата yurfed:
Мне само окно убрать не проблема, правда до следующего перезапуска »
А что мешает сделать в этот момент логи утилитой AVZ ? Нет возможности?

-------
Правильная постановка вопроса свидетельствует о некотором знакомстве с делом.
3нание бывает двух видов. Мы сами знаем предмет — или же знаем, где найти о нём сведения.
[Quick Killer 3.0 Final [OSZone.net]] | [Quick Killer 3.0 Final [SafeZone.cc]] | [Парсер логов Gmer] | [Парсер логов AVZ]

http://tools.oszone.net/Drongo/Userbar/SafeZone_cc.gif


Отправлено: 22:40, 03-12-2009 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для yurfed

Ветеран


Сообщения: 20095
Благодарности: 3135

Профиль | Отправить PM | Цитировать


Цитата Drongo:
А что мешает сделать в этот момент логи утилитой AVZ »
Да просто блокировано всё напрочь. Замена расширения на *.COM и другие, не прокатила.
В любом случае, системники нужно отдавать и полюбому что-то придумывать.
Завтра днём или вечером отпишусь.

-------
Хочу ли я - Могу ли я - Говно ли я - Магнолия


Отправлено: 22:51, 03-12-2009 | #3


Аватара для iskander-k

скептик-оптимист


Moderator


Сообщения: 5718
Благодарности: 1115

Профиль | Отправить PM | Цитировать


МБАМ пробовал ? Она не плохо чистит реестр от неправильных ключей ко всему прочему..


Попробуйте код 10555811 или 561139

и попробуйте перевести время на пару месяцев назад и если запустится нормально, проверить курейтом.

-------
Мягкий и пушистый - если не гладить против шерсти.




Вам помог совет? Нажмите на ссылку Полезное сообщение .


Отправлено: 23:43, 03-12-2009 | #4


Аватара для Drongo

Будем жить, Маэстро...


Сообщения: 6694
Благодарности: 1393

Профиль | Сайт | Отправить PM | Цитировать


Цитата yurfed:
Замена расширения на *.COM и другие, не прокатила. »
Был ещё случай недавно, когда обе версии AVZ - обычная и полиморфная не запускались, смена расширений не помогла, потому что имя у них было avz, помогло простое переименование файла в 111.ехе. Возможно в теле вируса прописан запрет на запуск AVZ по имени avz. Попробуй полиморфную версию AVZ, и смени у неё имя с avz.exe, на 123.exe. По идее должно сработать.

-------
Правильная постановка вопроса свидетельствует о некотором знакомстве с делом.
3нание бывает двух видов. Мы сами знаем предмет — или же знаем, где найти о нём сведения.
[Quick Killer 3.0 Final [OSZone.net]] | [Quick Killer 3.0 Final [SafeZone.cc]] | [Парсер логов Gmer] | [Парсер логов AVZ]

http://tools.oszone.net/Drongo/Userbar/SafeZone_cc.gif


Отправлено: 09:54, 04-12-2009 | #5


Аватара для yurfed

Ветеран


Сообщения: 20095
Благодарности: 3135

Профиль | Отправить PM | Цитировать


Drongo, да я же говорю, блокируется всё напрочь. Сейчас возьмус за сказанное мной выше. Отпишусь.

-------
Хочу ли я - Могу ли я - Говно ли я - Магнолия


Отправлено: 10:13, 04-12-2009 | #6


Странствующий хэлпер


Сообщения: 2242
Благодарности: 634

Профиль | Отправить PM | Цитировать


Раз уж лазаете ручками в реестре, тогда смотреть ветку
Код: Выделить весь код
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
и в параметре AppInit_DLLs убирать вредную dll-ку

Перезагружаемся и после этого сможете сделать логи

-------

Microsoft MVP 2012, 2013, 2014, 2015
Помните: в ПМ помощь не оказывается. Для этого и создан этот форум. Вместе мы - сила!

Ждете помощи? Выполните Правила оказания помощи

Это сообщение посчитали полезным следующие участники:

Отправлено: 10:28, 04-12-2009 | #7


Аватара для yurfed

Ветеран


Сообщения: 20095
Благодарности: 3135

Профиль | Отправить PM | Цитировать


Не помогло ничего. Мутить это дело небыло времени, просто переустановил. Такая ботва.
Вопрос всё ещё актуален

-------
Хочу ли я - Могу ли я - Говно ли я - Магнолия


Отправлено: 10:44, 05-12-2009 | #8


Аватара для Drongo

Будем жить, Маэстро...


Сообщения: 6694
Благодарности: 1393

Профиль | Сайт | Отправить PM | Цитировать


Может попробовать отследить все файлы, которые были созданы в течении 1-го месяца?

• Скачать RSIT или отсюда. Запустить, выберать проверку файлов за последний месяц (1 Month) и нажать -Продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Смотрим в log.txt Логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

А там по списку посмотреть на подозретильные...

-------
Правильная постановка вопроса свидетельствует о некотором знакомстве с делом.
3нание бывает двух видов. Мы сами знаем предмет — или же знаем, где найти о нём сведения.
[Quick Killer 3.0 Final [OSZone.net]] | [Quick Killer 3.0 Final [SafeZone.cc]] | [Парсер логов Gmer] | [Парсер логов AVZ]

http://tools.oszone.net/Drongo/Userbar/SafeZone_cc.gif

Это сообщение посчитали полезным следующие участники:

Отправлено: 13:05, 05-12-2009 | #9


Странствующий хэлпер


Сообщения: 2242
Благодарности: 634

Профиль | Отправить PM | Цитировать


Цитата yurfed:
Вопрос всё ещё актуален »
По указанному мной в сообщении №7 пути в реестре попасть сумел?

-------

Microsoft MVP 2012, 2013, 2014, 2015
Помните: в ПМ помощь не оказывается. Для этого и создан этот форум. Вместе мы - сила!

Ждете помощи? Выполните Правила оказания помощи


Отправлено: 19:16, 05-12-2009 | #10



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » M21720009 на номер 8353

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Серийный номер Butunin Klim Microsoft Windows NT/2000/2003 1 02-05-2007 22:40
Номер Аськи Vovanello Хочу все знать 5 10-02-2004 17:24




 
Переход